Wissensdatenbank Microsoft UEFI CA 2023 – Secure Boot Zertifikat-Update

Microsoft UEFI CA 2023 – Secure Boot Zertifikat-Update

Betroffene Geräte der FORSIS Baureihen

Alle FORSIS Industrie-Panel-PCs der Baureihen EXPERT, PROFI, MOBILE und MASTER.

Hintergrundinformation

Microsoft hat im Juni 2026 damit begonnen, die ursprünglichen Secure Boot Zertifikate aus dem Jahr 2011 abzulösen. Die alten Zertifikate laufen zeitnah ab – das erste ist bereits am 24. Juni 2026 abgelaufen. Für Sie bedeutet dies, dass FORSIS Industrie Rechner, welche nicht auf die neuen 2023-Zertifikate aktualisiert werden, ab diesem Zeitpunkt keine sicherheitsrelevanten Updates für den Boot-Prozess mehr empfangen.

Je nach Alter und BIOS-Stand des eingesetzten Industrie-PCs ist eine Maßnahme erforderlich. Hier möchten wir Sie unterstützen.

Fachbegriffe zum Thema UEFI CA 2023

Nachfolgend zuerst einmal eine kurze Übersicht zu den verschiedenen Fachbegriffen so das ein besseres Verständnis möglich ist.

FachbegriffEin kurze Erklärung
Secure BootSicherheitsfunktion im UEFI-BIOS. Stellt beim Start sicher, dass nur vertrauenswürdige, digital signierte Software geladen wird. Verhindert Bootkits und Rootkits
UEFIUnified Extensible Firmware Interface – moderner Nachfolger des klassischen BIOS. Firmware-Schnittstelle zwischen Hardware und Betriebssystem.
UEFI CA 2023Das neue Microsoft Zertifikat (Certificate Authority 2023), das ab 2026 zur Signierung aller Windows-Boot-Komponenten verwendet wird
Plattform Key (PK)Der Generalschlüssel des Systems, verankert in der Motherboard-Firmware des Herstellers, bei unseren FORSIS Geräten z. B. die Boardhersteller MITAC, IGAIPC usw. Dieser ist nur per BIOS-Update änderbar.
Key Exchange Key (KEK)Autorisiert Änderungen an den Signaturdatenbanken DB und DBX. Muss den neuen ‚Microsoft Corporation KEK 2K CA 2023‘ enthalten
Signature Database (DB)Datenbank erlaubter Signaturen. Muss ‚Windows UEFI CA 2023‘ enthalten, damit der Boot Manager vertrauenswürdig ist.
forbidden sig. DB (DBX)Sperrliste: Hier werden kompromittierte oder zurückgezogene Boot-Signaturen eingetragen. Wird von Microsoft laufend aktualisiert.
chain of trustHierarchische Vertrauenskette: PK → KEK → DB/DBX → Bootloader → Betriebssystem. Jede Ebene prüft die nächste.

Die Vertrauenskette

Secure Boot arbeitet mit einer hierarchischen Vertrauensstruktur.

Jede Ebene muss aktuell sein, damit das update vollständig greift.

Wir als System Integrator erhalten von den Motherboar Anbieter bekommen die PK und KEK Schlüssel vom jeweiligen Motherboard Anbieter.

Nur ein BIOS-Update vom Hersteller kann den neuen Microsoft KEK 2K CA 2023 Schlüssel korrekt in die Firmware einbinden.

Was passiert wenn Sie kein Update durchführen

  • Geräte ohne aktualisierte Zertifikate starten weiterhin normal und empfangen reguläre Windows-Updates.
    Allerdings können diese Geräte
  • keine sicherheitsrelevanten Updates für den Boot-Prozess mehr empfangen
  • keine aktualisierten Windows Boot Manager-Versionen installieren
  • keine neuen Einträge in die Sperrliste (DBX) übernehmen
  • bekannte Boot-Schwachstellen (z. B. BlackLotus / CVE-2023-24932) nicht mehr mitigieren

Langfristig bedeutet dies, dass der FORSIS Industrie PC auf dem Sicherheitsstandard von Oktober 2026 stehen bleibt und zunehmend anfällig für Angriffe ist.

FORSIs Neugeräte Lieferungen

Hier besteht kein Handlungsbedarf. FORSIS liefert alle aktuellen Geräte mit dem bereits validierten BIOS Standard aus. Windows update übernimmt die weiteren Schritte.

FORSIS Bestandgeräte

Nachfolgend finden Sie eine Tabelle mit Boardtyp und INTEL CPU Generation. Alle Geräte vor der achten Generation können nicht berücksichtigt werden, da hier der TPM Chip fehlt. Auch muss bei den nachfolgenden Geräte im Regelfall indivuell geprüft werden. Hier müssen Sie den Status prüfen, wie dies geht finden Sie nach der Tabelle.

MainboardGenerationCA2023 Secure boot update inkl. Intel ME verfürbarStatus
Wafer ULT 58GJA
Wafer TGL R10/R11/R1211GJA
MITAC PD10EHI10GJA
MITAC PD11TGS11GJA
MIO-53738GJA
MIO-537511GJA
QBIP-1313GJAvorhanden
QBIP CORE ULTRA IICore Ultra 225 /235Uimplemtiert

Schritt 1: Schnellcheck über Windows Sicherheit

Windows-Einstellungen → Datenschutz & Sicherheit → Windows-Sicherheit → Gerätesicherheit → Sicherer Start

  • Grünes Symbol: Alle Zertifikate sind aktuell. Kein weiterer Handlungsbedarf.
  • Gelbes Warnsymbol: Das Gerät hat das Update noch nicht erhalten. Weiter mit Schritt 2.

Schritt 2: Detaillierter Prüfbefehl (PowerShell als Administrator)

# KEK prüfen – muss True zurückgeben

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI kek).bytes) -match ‚Microsoft Corporation KEK 2K CA 2023‘

# DB prüfen – muss True zurückgeben

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‚Windows UEFI CA 2023‘

Tipp: Das vollständige FORSIS Prüfskript (FORSIS-SecureBoot-Check.ps1) steht im Download-Bereich auf www.forsis.de zur Verfügung und liefert einen übersichtlichen Statusbericht für alle relevanten Zertifikate.

Schritt 3: Bestandsgerät – BIOS-Update erforderlich

Wenn einer der Prüfbefehle ‚False‘ zurückgibt, ist ein BIOS-Update einzuspielen.

Wichtiger Hinweis vor dem Update: Wenn auf dem Gerät BitLocker aktiv ist, den Wiederherstellungsschlüssel bereithalten oder BitLocker vorübergehend deaktivieren. Ein BIOS-Update kann den BitLocker-Schutz auslösen.

Fragen Sie unseren Support an.

Nach oben scrollen